事故から学ぶ

【最大4.4万人のカード情報流出】「EXILE」所属のLDH JAPAN、ECサイトへの不正アクセス被害

事故概要

業種 芸能事務所
発生時期 2000/10/15
漏えい人数 44000
事故概要

「EXILE」など人気アーティストが所属するLDH JAPANは12月8日、ECサイト「EXILE TRIBE STATION ONLINE SHOP」において第三者による不正アクセスを受け、クレジットカード情報が流出した可能性があると発表した。4万4663人のクレジットカード情報が流出した可能性があるという。
2020年10月15日、一部のクレジットカード会社から当該サイトを利用した顧客のクレジットカード情報が流出した懸念があるとの連絡を受け、不正アクセスの可能性が疑われたため、同日「EXILE TRIBE STATION ONLINE SHOP」を停止した。
第三者調査機関であるP.C.F.FRONTEOに調査を依頼。その結果、2020年8月18日から10月15日の期間中に顧客のクレジットカード情報が流出し、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認したという。原因は第三者によって「EXILE TRIBE STATION ONLINE SHOP」に不正アクセスされ、決済処理プログラムの改ざんが行われたためだと説明する。
流出した可能性があるのは「EXILE TRIBE STATION ONLINE SHOP」で新規にクレジットカード情報を会員登録した顧客、登録済みのクレジットカード番号を変更した4万4663人。流出した可能性のあるクレジットカード情報は、「クレジットカード名義人」「クレジットカード番号」「有効期限」「セキュリティコード」の4点。
11月27日時点で、少なくとも209人の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けている。流出の可能性がある顧客については、電子メールで個別に連絡している。
第三者調査機関によるログファイルなどの調査の結果、個人情報が格納されたサーバが不正アクセスを受けたことは明らかになったものの、漏洩の件数は特定できなかった。現時点ではクレジットカード情報以外の個人情報の漏洩は確認されていないという。
LDHグループの他のサイトと「EXILE TRIBE STATION ONLINE SHOP」は完全に分離したシステムで運営しているため、他のLDHグループのサイトは不正アクセスの対象とはなっていないという。
LDH JAPANではクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止対策を行っている。顧客がクレジットカードの差し替えを希望する場合、カード再発行の手数料についてはLDH JAPANが負担するようにクレジットカード会社に依頼しているという。
今後、「EXILE TRIBE STATION ONLINE SHOP」については、現行システムの破棄を含めたシステムの移行、および監視体制の強化を行い、再発防止を図って行く考えだ。再開日につきましては、改めてWebサイト上で案内する。

引用元 マイナビニュース

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

1. 決済サービスへの不正アクセス 全加盟店のデータ流出へ

このところ不正アクセスによる被害が増加している。不正アクセスによる被害は色々あるが、侵入されてしまったあとでは、漏えいした情報を回収できず漏えい対象者の心理的不安と、のちに何らかの実害が生じることがあり、経過を注意深く見ていく必要がある。

今回流出対象となったのは加盟店側のデータだ。
加盟店データベースの設定に不備があり、加盟店代表者の名前や住所、口座情報などが流出した。

設定の不備とのことで、防ぐことの出来た事故といえる。
今一度、自社でも設定の見直しをすべきである。

具体例:

不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。